SlideShare a Scribd company logo

Nehacknutelny web

Security Session
Security Session
Technology
1 of 25
Download to read offline
Nehacknuteľný  web   Tomáš  Zaťko  
Ako  prebieha  bežný  deface  webu?     •  Deravé  CMS-­‐ko   •  SQLi   •  File  upload   •  atď   •  Deravé  systémy  web  hosLng  providera   •  Ukradnuté  heslo    
Cesty  na  prienik  do  webov     •  Útok  na  systémy  admina   •  HW   •  OS   •  Sieť   •  Systémové  knižnice,  služby   •  Webový  server   •  RunLme  aplikácie   •  Knižnice,  framework   •  Aplikácia  
Útok  na  systém  admina   •  Rôzne  vektory  infikácie   •  Trojan   •  Keylogger  
Hardvér   •  Fyzický  prístup   •  Remote  management  serveru   •  Tiež  je  to  len  operačný  systém  so  všetkými   špecifikami   •  Väčšinou  nie  je  updatovaný  
Operačný  Systém   •  Sieť   •  Bežné  sieťové  útoky   •  DNS   •  Systémové  knižnice,  služby   •  Konfiguračné  chyby   •  Špecifické  útoky  (staré/deravé  verzie)   •  Služby  vs.  firewall  
Webový  server   •  Web  server  samotný   •  Akevne  moduly   •  Konfigurácia  
Webový  server   •  RunLme  aplikácie   •  Knižnice/moduly/rozšírenia   •  Aplikácia  
OWASP  Top  10    (2013)  
OWASP  Top  10  -­‐  zmeny  
Čo  s  tým?   •  Bezpečnostné  aktualizácie  CMS   •  Môže  prinášať  problémy         •  WAF   •  Môže  prinášať  problémy   •  Vlastný   •  As  a  service  
Čo  je  úlohou  bezpečnosL?  
Nepriestrelný  web?   •  StaLcký  web  =  nehacknuteľný  web   •  Akevne  prvky  =  amack  surface   •  Žiadne  akevne  prvky  =  niet  na  čo  útočiť  
Nepriestrelný  web?   •  Back  to  nineLes!  
Nepriestrelný  web?  
Nepriestrelný  web  –  HOW  TO   •  CMS  “fyzicky”  oddelené  od  publikovanej   verzie  webu   •  Izolácia  -­‐  zamedzenie  prístupu  z  jedného  vhostu   do  druhého   •  Napr.  mod_ruid,  pri  ktorom  beží  každý  vhost  pod   iným  EUID   •  Alebo  rôzne  servery  
Nepriestrelný  web  –  HOW  TO   •  Mirror  webu  z  CMS   •  Napr.  wget,  hmrack   •  Doťahať  špecifické  súbory   •  Napr.  IE  specific  stypesheet   •  Špecifické  fixy   •  Napr.  404  bez  vyhľadávanie   •  Upload  do  public  vhostu   •  Cleanup  
Nepriestrelný  web  –  HOW  TO   $HTTRACK_DIR/h-rack  "$DYN_WEB"  -­‐O  "$TMP_DIR"  -­‐s0  -­‐-­‐footer  ""  -­‐N  "%p/%n.%t"  –I0     wget  -­‐-­‐no-­‐cache  -­‐q  $DYN_WEB/wp-­‐content/themes/citadelo/js/html5.js  -­‐O  $TMP_DIR/wp-­‐content/themes/citadelo/js/html5.js   wget  -­‐-­‐no-­‐cache  -­‐q  $DYN_WEB/wp-­‐content/themes/citadelo/css/font-­‐awesome-­‐ie7.min.css  -­‐O  $TMP_DIR/wp-­‐content/themes/citadelo/css/ font-­‐awesome-­‐ie7.min.css   wget  -­‐-­‐no-­‐cache  -­‐q  $DYN_WEB/wp-­‐content/themes/citadelo/css/ie9.css  -­‐O  $TMP_DIR/wp-­‐content/themes/citadelo/css/ie9.css   wget  -­‐-­‐no-­‐cache  -­‐q  $DYN_WEB/wp-­‐content/themes/citadelo/css/ie.css  -­‐O  $TMP_DIR/wp-­‐content/themes/citadelo/css/ie.css     if  [  "$1"  ==  "-­‐b"  ]  ||  [    "$1"  ==  "-­‐-­‐beta"  ]   then          rsync  -­‐a  -­‐-­‐del  -­‐-­‐exclude='404.html'  -­‐-­‐exclude='.htaccess'  $TMP_DIR  citadelo_beta@secustweb01.digmia.com:$DST_DIR   else          rsync  -­‐a  -­‐-­‐del  -­‐-­‐exclude='404.html'  -­‐-­‐exclude='.htaccess'  $TMP_DIR  citadelo_pub@secustweb01.digmia.com:$DST_DIR            mkdir  $BCK_DIR/$NOW          cp  -­‐a  $TMP_DIR/*  $BCK_DIR/$NOW          ln  -­‐sfn  $BCK_DIR/$NOW  $BCK_DIR/current            if  [  $(ls  $BCK_DIR  |  wc  -­‐l)  -­‐gt  11  ]          then                  rm  -­‐f  -­‐R  "$(find  $BCK_DIR/  -­‐maxdepth  1  -­‐type  d  -­‐prine  '%T@t%pn'  |  sort  -­‐r  |  tail  -­‐n  1  |  sed  's/[0-­‐9]*.[0-­‐9]*t//')"          fi   fi     rm  -­‐rf  $TMP_DIR/*  
Nepriestrelný  web  –  HOW  TO   •  Absolútne  linky   •  AddOutputFilterByType SUBSTITUTE text/html •  Substitute "s|https?://cms.citadelo..*/|/|I”
Nepriestrelný  web  –  HOW  TO   •  Jazyková  mutácia  podľa  GEO  IP   •  RewriteEngine On •  GeoIPEnable On •  # ak nie sme domena .hu •  RewriteCond %{HTTP_HOST} !^((www.|beta.)? citadelo.hu) •  # a zaroven nie sme podla geoip SK|HU|CZ •  RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !(^(SK|HU| CZ)$) •  # tak zobrazime /en •  RewriteRule ^$ /en [L] •  RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^HU$ [OR] •  RewriteCond %{HTTP_HOST} ^(www.|beta.)? citadelo.hu •  RewriteRule ^$ /hu [L]
Nepriestrelný  web  –  HOW  TO   •  Predsalen  nejaký  akevny  prvok?   •  ProxyPass /mam-zaujem-o-audit-bezpecnosti/ http://cms.citadelo.com/mam-zaujem-o-audit- bezpecnosti/ •  ProxyPassReverse /mam-zaujem-o-audit- bezpecnosti/ http://cms.citadelo.com/mam- zaujem-o-audit-bezpecnosti/
Nepriestrelný  web  –  HOW  TO   •  Po  zmene  obsahu  v  CMS  je  potrebné   vypublikovať  obsah  cez  d2s.sh   •  AutomaLcky  –  periodicky  z  CRONu   •  Manuálne  –  skript  vyvolaný  z  webu   •  Manuálne  –  skript  vyvolaný  cez  ssh    
Nepriestrelný  web  –  Limity   •  Vyhľadávanie   •  Diskusie   •  Live  chat   •  A/B  tesLng  
Nepriestrelný  web   •  PrakLcky  nehacknuteľný  web   •  Vhodné  pre  prezentačné  weby  bez  akevnych   prvkov   •  Alebo  weby  s  akevnymi  prvkami,  ktoré  vieme   outsourcovať    
tomas.zatko@citadelo.com  

Recommended

Codecon.sk - Ako škálovať PHP stránky? Od malej stránky až po datacentrum
Codecon.sk - Ako škálovať PHP stránky? Od malej stránky až po datacentrumCodecon.sk - Ako škálovať PHP stránky? Od malej stránky až po datacentrum
Codecon.sk - Ako škálovať PHP stránky? Od malej stránky až po datacentrumTomas Srnka
 
Wordpress Multisite
Wordpress MultisiteWordpress Multisite
Wordpress MultisiteWebglobe - Yegon
 
WordPress zvladne vela
WordPress zvladne velaWordPress zvladne vela
WordPress zvladne velaWebglobe - Yegon
 
BigData & Supply Chain: A "Small" Introduction
BigData & Supply Chain: A "Small" IntroductionBigData & Supply Chain: A "Small" Introduction
BigData & Supply Chain: A "Small" IntroductionIvan Gruer
 
#sigint
#sigint#sigint
#sigintHendrik Spree
 
OSINT and beyond
OSINT and beyondOSINT and beyond
OSINT and beyondSecurity Session
 
Big Data & High-Performance-Analytics
Big Data & High-Performance-AnalyticsBig Data & High-Performance-Analytics
Big Data & High-Performance-AnalyticsSAS in Deutschland, Österreich und der Schweiz
 
IBM - Big Value from Big Data
IBM - Big Value from Big DataIBM - Big Value from Big Data
IBM - Big Value from Big DataWilfried Hoge
 

Recommended

Codecon.sk - Ako škálovať PHP stránky? Od malej stránky až po datacentrum
Codecon.sk - Ako škálovať PHP stránky? Od malej stránky až po datacentrumCodecon.sk - Ako škálovať PHP stránky? Od malej stránky až po datacentrum
Codecon.sk - Ako škálovať PHP stránky? Od malej stránky až po datacentrumTomas Srnka
 
Wordpress Multisite
Wordpress MultisiteWordpress Multisite
Wordpress MultisiteWebglobe - Yegon
 
WordPress zvladne vela
WordPress zvladne velaWordPress zvladne vela
WordPress zvladne velaWebglobe - Yegon
 
BigData & Supply Chain: A "Small" Introduction
BigData & Supply Chain: A "Small" IntroductionBigData & Supply Chain: A "Small" Introduction
BigData & Supply Chain: A "Small" IntroductionIvan Gruer
 
#sigint
#sigint#sigint
#sigintHendrik Spree
 
OSINT and beyond
OSINT and beyondOSINT and beyond
OSINT and beyondSecurity Session
 
Big Data & High-Performance-Analytics
Big Data & High-Performance-AnalyticsBig Data & High-Performance-Analytics
Big Data & High-Performance-AnalyticsSAS in Deutschland, Österreich und der Schweiz
 
IBM - Big Value from Big Data
IBM - Big Value from Big DataIBM - Big Value from Big Data
IBM - Big Value from Big DataWilfried Hoge
 
Mne to na notebooku funguje
Mne to na notebooku fungujeMne to na notebooku funguje
Mne to na notebooku fungujeJuraj Bednar
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)Jakub Žitný
 
Require.JS & Backbone.JS
Require.JS & Backbone.JSRequire.JS & Backbone.JS
Require.JS & Backbone.JSsrigi
 
Analytika
AnalytikaAnalytika
AnalytikaseznamVyvojari
 
Node.js @ Rubyslava
Node.js @ RubyslavaNode.js @ Rubyslava
Node.js @ RubyslavaIvan Srba
 
Ako na rýchly web - WordCamp Žilina 2016 - xKatka
Ako na rýchly web - WordCamp Žilina 2016 - xKatkaAko na rýchly web - WordCamp Žilina 2016 - xKatka
Ako na rýchly web - WordCamp Žilina 2016 - xKatkaKatarina Novotna
 
Php sec
Php secPhp sec
Php secOWASP (Open Web Application Security Project)
 
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovky
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovkyOSS Vikend 2016: vpsFree.cz - linuxový server od neziskovky
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovkyTomas Srnka
 
responsive webdesign - vibration.sk
responsive webdesign - vibration.skresponsive webdesign - vibration.sk
responsive webdesign - vibration.skvibration.sk
 
Nove trendy v html a css
Nove trendy v html a cssNove trendy v html a css
Nove trendy v html a cssTomas Majer
 
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...Tomas Srnka
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Savione
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)wcsk
 
Tomáš Corej: Od sdíleného hostingu po server
Tomáš Corej: Od sdíleného hostingu po serverTomáš Corej: Od sdíleného hostingu po server
Tomáš Corej: Od sdíleného hostingu po serverDevelcz
 
Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]David Lukac
 
Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]David Lukac
 
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
 
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
 
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
 
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Security Session
 

More Related Content

Similar to Nehacknutelny web

Mne to na notebooku funguje
Mne to na notebooku fungujeMne to na notebooku funguje
Mne to na notebooku fungujeJuraj Bednar
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)Jakub Žitný
 
Require.JS & Backbone.JS
Require.JS & Backbone.JSRequire.JS & Backbone.JS
Require.JS & Backbone.JSsrigi
 
Node.js @ Rubyslava
Node.js @ RubyslavaNode.js @ Rubyslava
Node.js @ RubyslavaIvan Srba
 
Ako na rýchly web - WordCamp Žilina 2016 - xKatka
Ako na rýchly web - WordCamp Žilina 2016 - xKatkaAko na rýchly web - WordCamp Žilina 2016 - xKatka
Ako na rýchly web - WordCamp Žilina 2016 - xKatkaKatarina Novotna
 
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovky
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovkyOSS Vikend 2016: vpsFree.cz - linuxový server od neziskovky
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovkyTomas Srnka
 
responsive webdesign - vibration.sk
responsive webdesign - vibration.skresponsive webdesign - vibration.sk
responsive webdesign - vibration.skvibration.sk
 
Nove trendy v html a css
Nove trendy v html a cssNove trendy v html a css
Nove trendy v html a cssTomas Majer
 
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...Tomas Srnka
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Savione
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)wcsk
 
Tomáš Corej: Od sdíleného hostingu po server
Tomáš Corej: Od sdíleného hostingu po serverTomáš Corej: Od sdíleného hostingu po server
Tomáš Corej: Od sdíleného hostingu po serverDevelcz
 
Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]David Lukac
 
Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]David Lukac
 

Similar to Nehacknutelny web (16)

Mne to na notebooku funguje
Mne to na notebooku fungujeMne to na notebooku funguje
Mne to na notebooku funguje
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)
 
Require.JS & Backbone.JS
Require.JS & Backbone.JSRequire.JS & Backbone.JS
Require.JS & Backbone.JS
 
Analytika
AnalytikaAnalytika
Analytika
 
Node.js @ Rubyslava
Node.js @ RubyslavaNode.js @ Rubyslava
Node.js @ Rubyslava
 
Ako na rýchly web - WordCamp Žilina 2016 - xKatka
Ako na rýchly web - WordCamp Žilina 2016 - xKatkaAko na rýchly web - WordCamp Žilina 2016 - xKatka
Ako na rýchly web - WordCamp Žilina 2016 - xKatka
 
Php sec
Php secPhp sec
Php sec
 
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovky
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovkyOSS Vikend 2016: vpsFree.cz - linuxový server od neziskovky
OSS Vikend 2016: vpsFree.cz - linuxový server od neziskovky
 
responsive webdesign - vibration.sk
responsive webdesign - vibration.skresponsive webdesign - vibration.sk
responsive webdesign - vibration.sk
 
Nove trendy v html a css
Nove trendy v html a cssNove trendy v html a css
Nove trendy v html a css
 
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...
Devel.cz - História, súčastnosť a budúcnosť spracovania PHP… vieme PHP ešte...
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
 
Tomáš Corej: Od sdíleného hostingu po server
Tomáš Corej: Od sdíleného hostingu po serverTomáš Corej: Od sdíleného hostingu po server
Tomáš Corej: Od sdíleného hostingu po server
 
Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]
 
Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]Drupal a OOP [DrupalCamp SK 2013]
Drupal a OOP [DrupalCamp SK 2013]
 

More from Security Session

Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
 
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
 
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
 
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Security Session
 
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
 
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
 
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
 
Exploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýExploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýSecurity Session
 
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin DrábKontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin DrábSecurity Session
 
Research in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýResearch in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýSecurity Session
 
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýDolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýSecurity Session
 
Co se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkCo se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkSecurity Session
 
Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýJak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýSecurity Session
 
Two Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožTwo Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožSecurity Session
 
Falsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiFalsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiSecurity Session
 

More from Security Session (20)

Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
 
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
 
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
 
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
 
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
 
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
 
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
 
Prezentace brno
Prezentace brnoPrezentace brno
Prezentace brno
 
Exploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýExploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan Kopecký
 
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin DrábKontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
 
Research in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýResearch in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin Drahanský
 
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýDolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
 
Turris - Robert Šefr
Turris - Robert ŠefrTurris - Robert Šefr
Turris - Robert Šefr
 
Co se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkCo se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel Minařík
 
Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýJak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
 
Two Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožTwo Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal Ambrož
 
Falsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiFalsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivosti
 

Nehacknutelny web

  • 2. Ako  prebieha  bežný  deface  webu?     •  Deravé  CMS-­‐ko   •  SQLi   •  File  upload   •  atď   •  Deravé  systémy  web  hosLng  providera   •  Ukradnuté  heslo    
  • 3. Cesty  na  prienik  do  webov     •  Útok  na  systémy  admina   •  HW   •  OS   •  Sieť   •  Systémové  knižnice,  služby   •  Webový  server   •  RunLme  aplikácie   •  Knižnice,  framework   •  Aplikácia  
  • 4. Útok  na  systém  admina   •  Rôzne  vektory  infikácie   •  Trojan   •  Keylogger  
  • 5. Hardvér   •  Fyzický  prístup   •  Remote  management  serveru   •  Tiež  je  to  len  operačný  systém  so  všetkými   špecifikami   •  Väčšinou  nie  je  updatovaný  
  • 6. Operačný  Systém   •  Sieť   •  Bežné  sieťové  útoky   •  DNS   •  Systémové  knižnice,  služby   •  Konfiguračné  chyby   •  Špecifické  útoky  (staré/deravé  verzie)   •  Služby  vs.  firewall  
  • 7. Webový  server   •  Web  server  samotný   •  Akevne  moduly   •  Konfigurácia  
  • 8. Webový  server   •  RunLme  aplikácie   •  Knižnice/moduly/rozšírenia   •  Aplikácia  
  • 9. OWASP  Top  10    (2013)  
  • 10. OWASP  Top  10  -­‐  zmeny  
  • 11. Čo  s  tým?   •  Bezpečnostné  aktualizácie  CMS   •  Môže  prinášať  problémy         •  WAF   •  Môže  prinášať  problémy   •  Vlastný   •  As  a  service  
  • 12. Čo  je  úlohou  bezpečnosL?  
  • 13. Nepriestrelný  web?   •  StaLcký  web  =  nehacknuteľný  web   •  Akevne  prvky  =  amack  surface   •  Žiadne  akevne  prvky  =  niet  na  čo  útočiť  
  • 14. Nepriestrelný  web?   •  Back  to  nineLes!  
  • 16. Nepriestrelný  web  –  HOW  TO   •  CMS  “fyzicky”  oddelené  od  publikovanej   verzie  webu   •  Izolácia  -­‐  zamedzenie  prístupu  z  jedného  vhostu   do  druhého   •  Napr.  mod_ruid,  pri  ktorom  beží  každý  vhost  pod   iným  EUID   •  Alebo  rôzne  servery  
  • 17. Nepriestrelný  web  –  HOW  TO   •  Mirror  webu  z  CMS   •  Napr.  wget,  hmrack   •  Doťahať  špecifické  súbory   •  Napr.  IE  specific  stypesheet   •  Špecifické  fixy   •  Napr.  404  bez  vyhľadávanie   •  Upload  do  public  vhostu   •  Cleanup  
  • 18. Nepriestrelný  web  –  HOW  TO   $HTTRACK_DIR/h-rack  "$DYN_WEB"  -­‐O  "$TMP_DIR"  -­‐s0  -­‐-­‐footer  ""  -­‐N  "%p/%n.%t"  –I0     wget  -­‐-­‐no-­‐cache  -­‐q  $DYN_WEB/wp-­‐content/themes/citadelo/js/html5.js  -­‐O  $TMP_DIR/wp-­‐content/themes/citadelo/js/html5.js   wget  -­‐-­‐no-­‐cache  -­‐q  $DYN_WEB/wp-­‐content/themes/citadelo/css/font-­‐awesome-­‐ie7.min.css  -­‐O  $TMP_DIR/wp-­‐content/themes/citadelo/css/ font-­‐awesome-­‐ie7.min.css   wget  -­‐-­‐no-­‐cache  -­‐q  $DYN_WEB/wp-­‐content/themes/citadelo/css/ie9.css  -­‐O  $TMP_DIR/wp-­‐content/themes/citadelo/css/ie9.css   wget  -­‐-­‐no-­‐cache  -­‐q  $DYN_WEB/wp-­‐content/themes/citadelo/css/ie.css  -­‐O  $TMP_DIR/wp-­‐content/themes/citadelo/css/ie.css     if  [  "$1"  ==  "-­‐b"  ]  ||  [    "$1"  ==  "-­‐-­‐beta"  ]   then          rsync  -­‐a  -­‐-­‐del  -­‐-­‐exclude='404.html'  -­‐-­‐exclude='.htaccess'  $TMP_DIR  citadelo_beta@secustweb01.digmia.com:$DST_DIR   else          rsync  -­‐a  -­‐-­‐del  -­‐-­‐exclude='404.html'  -­‐-­‐exclude='.htaccess'  $TMP_DIR  citadelo_pub@secustweb01.digmia.com:$DST_DIR            mkdir  $BCK_DIR/$NOW          cp  -­‐a  $TMP_DIR/*  $BCK_DIR/$NOW          ln  -­‐sfn  $BCK_DIR/$NOW  $BCK_DIR/current            if  [  $(ls  $BCK_DIR  |  wc  -­‐l)  -­‐gt  11  ]          then                  rm  -­‐f  -­‐R  "$(find  $BCK_DIR/  -­‐maxdepth  1  -­‐type  d  -­‐prine  '%T@t%pn'  |  sort  -­‐r  |  tail  -­‐n  1  |  sed  's/[0-­‐9]*.[0-­‐9]*t//')"          fi   fi     rm  -­‐rf  $TMP_DIR/*  
  • 19. Nepriestrelný  web  –  HOW  TO   •  Absolútne  linky   •  AddOutputFilterByType SUBSTITUTE text/html •  Substitute "s|https?://cms.citadelo..*/|/|I”
  • 20. Nepriestrelný  web  –  HOW  TO   •  Jazyková  mutácia  podľa  GEO  IP   •  RewriteEngine On •  GeoIPEnable On •  # ak nie sme domena .hu •  RewriteCond %{HTTP_HOST} !^((www.|beta.)? citadelo.hu) •  # a zaroven nie sme podla geoip SK|HU|CZ •  RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !(^(SK|HU| CZ)$) •  # tak zobrazime /en •  RewriteRule ^$ /en [L] •  RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^HU$ [OR] •  RewriteCond %{HTTP_HOST} ^(www.|beta.)? citadelo.hu •  RewriteRule ^$ /hu [L]
  • 21. Nepriestrelný  web  –  HOW  TO   •  Predsalen  nejaký  akevny  prvok?   •  ProxyPass /mam-zaujem-o-audit-bezpecnosti/ http://cms.citadelo.com/mam-zaujem-o-audit- bezpecnosti/ •  ProxyPassReverse /mam-zaujem-o-audit- bezpecnosti/ http://cms.citadelo.com/mam- zaujem-o-audit-bezpecnosti/
  • 22. Nepriestrelný  web  –  HOW  TO   •  Po  zmene  obsahu  v  CMS  je  potrebné   vypublikovať  obsah  cez  d2s.sh   •  AutomaLcky  –  periodicky  z  CRONu   •  Manuálne  –  skript  vyvolaný  z  webu   •  Manuálne  –  skript  vyvolaný  cez  ssh    
  • 23. Nepriestrelný  web  –  Limity   •  Vyhľadávanie   •  Diskusie   •  Live  chat   •  A/B  tesLng  
  • 24. Nepriestrelný  web   •  PrakLcky  nehacknuteľný  web   •  Vhodné  pre  prezentačné  weby  bez  akevnych   prvkov   •  Alebo  weby  s  akevnymi  prvkami,  ktoré  vieme   outsourcovať